科技的進步同時也讓網路攻擊技術持續提升,為了在不斷演進的威脅下,確保國家機密資訊安全,防止機敏資料外洩,美國國防部(Department of Defense, DoD)在2020年發布網路安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)框架。
強化CMMC理解與準備
美國國防部於2024年10月15日公布了32 CFR Part 170 CMMC Program的最終規則(Final Rule),預計2025年正式生效,確定美國國防供應鏈的資通安全成熟度模型驗證CMMC要求,以強化國防暨國家安全,未來國內廠商要爭取美國國防部或政府部門訂單,勢必要強化CMMC的理解與必要的準備。
伊諾瓦科技總經理萬述寧指出,CMMC要求供應商保護聯邦契約訊息(FCI)和受控未分類訊息(CUI),以防範潛在的數據洩露風險
CMMC是一套數據導向的框架。伊諾瓦科技總經理萬述寧指出,CMMC要求供應商保護聯邦契約訊息(FCI)和受控未分類訊息(CUI),以防範潛在的數據洩露風險。CMMC框架分為五個等級,適用範疇視供應商與政府合約的需求而異,並逐步提升網路安全要求。對台灣的非國防相關產業而言,導入CMMC Level 1可有效提升網路安全,而Level 2則適合有意與國際市場競爭的企業。
其次,CMMC的實施遵循專業行為準則,包括保密、專業性、客觀性和訊息完整性等,違反此準則可能導致資格取消。針對敏感數據的管理,萬述寧強調,CMMC要求企業建立嚴謹的數據流圖,涵蓋資料處理、儲存、傳輸等,以確保資料的機密性、完整性與可用性。
CMMC提升競爭力與企業聲譽
在評估方面,CMMC須依據不同等級的要求進行評估,範圍涵蓋人員、設施和技術資產,且需確保涉及敏感資料的系統能夠被正確保護。萬述寧說,劃定評估範疇包括主機單位、支持單位和分包商等,而仔細劃定範疇可減少實施成本並提高安全性。評估方法則由CMMC的Lead Assessor主導,涵蓋多個領域的評估實踐,確保外部連接和敏感數據的安全性。
CMMC對企業的價值在於提升競爭力和企業聲譽,強化公司對利害關係人的承諾。對美國防供應鏈的供應商來說,合規性更是競爭的必要條件,不合規者可能失去合約。CMMC框架可為企業提供一個系統性的指南,協助達成持續改進的網路安全管理,以符合現代資訊安全的要求。